美國國家標准和技術協會(National Institute of Standards and Technology)(NIST)發布了《數字身份驗證指南(Digital Authentication Guideline)(DAG)》的最新草案,其中暗示將來會禁用基於短信的雙因子認證方案(Two-Factor Authentication)(2FA)。
《數字身份驗證指南Digital Authentication Guideline(DAG)》是一系列用於軟件商構建安全服務的規則,也被政府和私人機構用於評估其服務和軟件的安全性。
NIST 的專家們一直不斷地更新該指南,以便應對 IT 領域的快速變化。
基於短信的雙因子認證仍然可以用,但是不會太久了
據最新的《數字身份驗證指南》草案,NIST 正式地不建議公司繼續使用基於短信的認證,甚至說將來考慮在該指南中將基於短信的雙因子認證視作不安全的。NIST 在該草案中說:
“如果使用基於公共移動電話網絡的短信作為帶外驗證,驗證者必須
驗證其預注冊的手機號碼是基於移動網絡的,而非 VoIP(或者其它基於軟件的),然後才能發送短信到預注冊手機號碼。修改預注冊手機號碼時如果沒有雙因子驗證是不能進行的。不推薦使用短信進行帶外驗證,本指南的將來版本中將不再允許這種方式。”
NIST 的指南當中認為基於短信的雙因子認證是不安全的,因為用戶不會總是帶著電話。
在該指南中,推薦軟件應用應該使用令牌和軟件加密驗證器,這可能是手機應用或硬件設備的形式,但是就像手機一樣,也可能被偷走或“臨時借走”。但該指南認為這種風險是可接受的,而不像令牌或軟件加密驗證器那樣,短信在 VoIP 服務之下是一個影響到了聯合信任因子的缺陷。
短信是不安全的,特別是在 VoIP 連接下
因為一些 VoIP 服務允許劫持短信,所以 NIST 建議廠商在基於短信的雙因子系統在發送短信驗證碼之前,對使用 VoIP 連接的訪問進行特別檢查。
短信是一個廣泛使用的不安全協議,僅在上周,Context Information Security 的安全研究人員就披露了又一起依賴於短信協議而危及到了其用戶和設備的攻擊。隨著對這種攻擊類型的越來越多的研究,軟件廠商、公司以及用戶會逐漸認識到應該換到更安全的驗證方式上。
當前的 NIST 指南仍在討論之中,但是基本上可以確定,該指南的將來版本不會再將使用基於短信的認證方式推薦為帶外驗證的安全方式。
生物識別技術是一個新興發展方向
在該指南草案中,也提到了生物特征識別技術在特定條件下是可以作為一個驗證方式的:
“因此,對生物識別技術的驗證是支持的,只需要遵循如下准則:生物識別技術
應該與其他(你知道的或你擁有的)認證因子配合使用。”
